【案情】

2024年3月至5月，某公司实际控制人张某指使员工刘某，从公司店铺后台导出客户网购订单信息。因平台信息保护机制限制（关键字段脱敏），所导出订单信息存在缺失。为牟取非法利益，张某安排刘某对接快递公司人员段某，通过解密、购买方式获取完整客户个人信息12万条（包含客户姓名、联系方式、家庭住址）。后张某将其中的5万条信息出售给其他公司用于二次销售，非法获利人民币30万元。

【评析】

第一种意见认为，贩卖网购订单信息应从重处罚，该类网购订单信息应认定为“交易信息”，张某等人系在提供服务过程中获取公民个人信息并出售给他人，应适用特殊主体从重处罚原则。

第二种意见认为，本案网购订单信息应认定为一般公民个人信息，张某等人不适用特殊主体从重处罚原则。笔者同意第二种意见。

首先，本案涉案信息属于一般信息。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《侵公解释》）第一条规定，刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。本案中，张某等人所获取并出售的客户信息包括姓名、联系方式、家庭住址三要素，足以单独或结合识别特定自然人身份，应认定为刑法所保护的公民个人信息。

其次，本案涉案信息不宜认定为“交易信息”。“交易信息”通常指与财产安全直接相关的信息。若行为人买卖大量包含公民姓名、收货地址、手机号码、产品类型及价格等内容的完整网购订单信息，因其直接反映交易内容及财产状况，可归入“交易信息”。但是，本案中张某等人贩卖的公民个人信息仅包含姓名、手机号码、联系方式等三要素，与财产安全关联性不强，故不认定为交易信息。

最后，张某不适用“特殊主体从重处罚”原则。本案中，虽然涉案信息最初源于张某公司店铺的订单，但平台已对后台信息实施了脱敏保护，从后台获取的实为不完整的、经脱敏处理的个人信息。张某等人通过向快递公司员工段某购买的方式方获取完整信息，此购买行为系其获取公民个人信息的主要手段，而非直接基于其作为电商经营者的职责或服务过程。因此，张某非法获取信息的主要方式不符合“在履行职责或者提供服务过程中获得”的法定要件，不应适用该特殊主体从重处罚规定。但是，快递公司人员系在提供快递服务过程中获取网购订单信息，应当适用上述从重处罚规定。

唐梦 王鹏